CVE-2026-56763 in Hono
요약
\~에 의해 VulDB • 2026. 07. 11.
4.12.7 이전 버전의 Hono는 dot 옵션이 활성화된 상태에서 parseBody에 __proto__ 키를 허용하며, 이를 통해 특별히 조작된 폼 필드 이름으로 __proto__ 속성을 가진 객체를 생성할 수 있습니다. 파싱 결과가 안전하지 않은 병합 패턴을 사용하여 일반 JavaScript 객체에 합쳐질 때, 공격자는 이를 악용하여 프로토타입 오염(prototype pollution)을 일으키고 객체의 동작을 변경할 수 있습니다.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.